RedCurl／EarthKapre APT攻撃の検出：洗練されたサイバースパイグループが正当なAdobe実行ファイルを使用してローダーを展開

地球カプリやレッドカールとして追跡される悪名高いサイバー諜報ハッキング集団 APT が、Indeedをテーマにした フィッシングを使用して法務関連の組織を再び標的にしています。最新の攻撃では、高度な攻撃能力で知られる敵対者が偵察コマンドとツールを適用し、データを流出させ、EarthKapre/RedCurlローダーを展開しました。

RedCurl/EarthKapre APT攻撃を検知

2024年には、 中国、北朝鮮、イラン、ロシアからの国家支援のサイバーグループがその攻撃能力を大幅に強化し、高度な洗練と適応力を示しました。これらの脅威アクターはサイバードメインで最も活発なものの一つであり、高度な技術を駆使して地政学的な目的を遂行しました。サイバー諜報は主要な焦点として浮上し、キャンペーンはよりターゲットを絞ったものとなり、より隠密になりました。レッドカール（別名EarthKapre APT）による最新の作戦は、法律業界の組織に侵入するための非常に高度なアプローチを示しています。 from China, North Korea, Iran, and russia significantly enhanced their offensive capabilities, showcasing increased sophistication and adaptability. These threat actors remained among the most active in the cyber domain, employing advanced techniques to further their geopolitical agendas. Cyber espionage emerged as a primary focus, with campaigns growing more targeted and covert. A notable example is the latest operation by RedCurl (aka EarthKapre APT), which demonstrates a highly sophisticated approach to infiltrating organizations within the legal sector. 

発展する脅威を上回り、潜在的なRedCurl APT攻撃に素早く対応するために、 SOC Primeプラットフォーム は、最新の攻撃作戦で活用されるTTPを扱うキュレーション済みのSigmaルールセットを提供します。以下の 検出を探索 ボタンを押すだけで、RedCurl攻撃の検出に関連する検出スタックを即座に深掘りすることができます。

検出を探索

これらのルールは、複数のSIEM、EDR、データレイクソリューションと互換性があり、 MITRE ATT&CK® にマッピングされており、脅威調査を効率化します。検出には、リンク、攻撃のタイムライン、トリアージの推奨事項など、豊富なメタデータも付加されています。 CTI links, attack timelines, triage recommendations, and more.

さらに、セキュリティ専門家は、eSentireの脅威応答ユニットによる最新のRedCurlキャンペーンの 分析 からIOCを探すことができます。Uncoder AIを使用すると、セキュリティ専門家はこれらのIOCを簡単に解析し、選ばれたSIEMやEDRプラットフォーム用にカスタムクエリに変換することができます。以前は企業クライアントに限定されていた Uncoder AI は現在、個々の研究者にも利用可能となり、その強力な機能へのフルアクセスを提供します。詳細はこちら から。.

APT攻撃に使用されるTTPに関するより多くの検出コンテンツを求めるサイバー防衛者は、「APT」タグを使用して脅威検出マーケットプレイスを探求することができます。これは、国家支援のグループに関連する悪質な活動を検出するために設計されたルールとクエリの包括的なコレクションにアクセスを提供します。

RedCurl/EarthKapre APT攻撃分析

2025年1月に、 eSentireの脅威応答ユニット（TRU）チーム は、正当なAdobe実行ファイル、ADNotificationManager.exeを使用してその悪意のあるローダーを投下するEarthKapre（別名RedCurl）APTを発見しました。このグループは2018年以来サイバー脅威活動を行っており、ウクライナ、アメリカ、英国、カナダを含む広範な地域にわたってさまざまな業界を標的にしています。最新の攻撃キャンペーンでは、主に民間企業を標的にすることで知られるサイバー諜報グループが、求人テーマのフィッシングを利用して法務関係の組織に注目しています。EarthKapreは偵察にSysInternals AD Explorer、データをパスワードでアーカイブするために7-Zip、クラウドストレージプロバイダへの流出にPowerShell PUTリクエストを使用しました。

感染チェーンは、履歴書やカバーレターに見せかけた悪意のあるPDFを含むスパムメールから始まります。PDFには、マウント可能なISO（IMG）ファイルが含まれるZIPアーカイブのリンクが含まれています。開かれると、IMGファイルは外部ドライブにマウントされ、「CV Applicant *.scr」という単一ファイルを示します。署名済みのAdobe実行ファイルとして表示されるこのレターを実行すると、感染したシステムにEarthKapreローダー（netutils.dll）がドロップされ、攻撃チェーンが完了します。

ZIPアーカイブを抽出してIMGファイルをマウントした後、ファイルエクスプローラーウィンドウには単一の*.scrファイルしか表示されません。被害者がこれを開くと、正規のCランタイムライブラリと共にRedCurl/EarthKapreマルウェアがサイドロードされます。

初期攻撃段階では、次のフェーズをダウンロードして実行することを目的としています。RedCurl/EarthKapreは、bcrypt.dllのさまざまなAPIを活用する文字列復号関数を利用します。続く攻撃段階では、同じ文字列復号メソッドが使用されますが、AES復号キーは異なる方法で派生されます。最初の部分はXOR復号によって取得され、その後実行時に渡されるGUIDと組み合わされます。これにより、サンドボックスがこの段階を正しくトリガーすることが難しくなります。base64からデコードし、HTTPリクエストペイロードにXOR復号を適用した後、攻撃者は被害者のユーザー名、コンピュータ名、および影響を受けた被害者のシステムからのファイル/ディレクトリの一覧を取得します。

RedCurlは、システム情報の収集とデータのアーカイブ化による流出を自動化するために、最終攻撃段階でバッチファイルを使用します。ユーザーアカウントの詳細、システムデータ、ディスク情報などを収集するためのコマンドを実行します。敵対的なC2インフラストラクチャはCloudflare上にホストされており、Cloudflare Workersを使用しています。

組織は、ISO/IMGファイルの自動マウントを防ぐためのグループポリシーの実施、すべてのワークステーションおよびサーバーにEDRソリューションを導入、継続的なサイバービジランスの維持などにより、RedCurl/EarthKapre APT攻撃のリスクを軽減することを考慮すべきです。進歩的な組織は、規模、範囲、洗練、進化する高度なAPT攻撃に至るまで、どんな新たな脅威のリスクを最小限に抑えることができます。 SOC Primeのエンタープライズ対応の完全な製品スイート は、セキュリティチームに将来性のある技術を備えさせ、いかなるセキュリティ投資の最大の価値を活用しながら、回復力のあるサイバーセキュリティ戦略を採用するのに役立ちます。